Posted on by Seguridad CSIRT-CV

Vulnerabilitats de seguretat corregides en Firefox 136

La Fundació Mozilla va publicar l’Avís de Seguretat de la Fundació Mozilla 2025-14, que aborda diverses vulnerabilitats de seguretat corregides en la versió Firefox 136. Aquestes vulnerabilitats afecten tant a la versió d’escriptori de Firefox com a la versió per a dispositius Android, i inclouen diversos errors de seguretat crítics, des de possibles fugides de sandbox fins a problemes de seguretat a la memòria.

Anàlisi

Les vulnerabilitats tenen un impacte variat, des de alt fins a baix, i poden ser explotades per atacants per executar codi arbitrari, enganyar els usuaris o realitzar atacs de clickjacking. Aquest document analitza les principals vulnerabilitats (CVE) reportades, els recursos afectats i les solucions disponibles.

    • CVE-2025-1930: AudioIPC StreamData – Ús després de lliberar memòria
      En sistemes Windows, un procés de contingut compromès podria utilitzar dades corruptes enviades a través d’AudioIPC per desencadenar un ús després de lliberar memòria en el procés del navegador. Aquest error podria haver permès una fuga de sandbox, la qual cosa hauria permès a un atacant executar codi fora de les restriccions del navegador. Per mitigar aquest problema, es recomana actualitzar a Firefox 136.
    • CVE-2025-1939: Tapjacking a les pestanyes personalitzades d’Android
      En la versió de Firefox per a Android, es va identificar una vulnerabilitat en l’ús d’animacions de transició en les pestanyes personalitzades. Aquest problema podria ser aprofitat per un atacant per enganyar l’usuari i fer-li atorgar permisos sensibles sense saber-ho, ocultant el que realment estava fent. Aquesta vulnerabilitat afecta la funcionalitat de les pestanyes personalitzades en Android i es soluciona amb l’actualització a Firefox 136.
    • CVE-2025-1931: Ús després de lliberar memòria en WebTransportChild
      Es va descobrir un error d’ús després de lliberar memòria en la part del procés de contingut d’una connexió WebTransport. Aquest problema podria portar a una caiguda explotable del navegador, permetent a un atacant executar codi maliciós o causar una interrupció del servei. L’error ha estat corregit en la versió Firefox 136, per la qual cosa és fonamental actualitzar.
    • CVE-2025-1932: Accés fora de límits a causa d’un comparador inconsistent en XSLT
      Un comparador inconsistent en el motor de XSLT podria haver permès l’accés fora de límits, cosa que podria haver estat explotada per un atacant per corrompre la memòria o realitzar altres accions malicioses. Aquest error afecta les versions de Firefox 122 i posteriors i ha estat solucionat en Firefox 136.
    • CVE-2025-1933: Corrupció de JIT en els valors de retorn de WASM i32 en CPU de 64 bits
      En sistemes de 64 bits, el compilador JIT podria haver utilitzat valors de memòria no inicialitzats en compilar els valors de retorn de WASM i32. Aquest problema podria haver conduït a la corrupció de memòria i a un comportament inesperat del navegador, cosa que podria haver estat aprofitada per executar codi maliciós. Aquest error ha estat solucionat en Firefox 136.
    • CVE-2025-1940: Tapjacking en Android Intent utilitzant opcions de selecció
      Un atacant podria haver aprofitat un error en el maneig de les opcions de selecció en Firefox per a Android per enganyar l’usuari i fer-li executar una aplicació externa inesperadament. Aquest tipus de tapjacking afecta la versió mòbil de Firefox i ha estat corregit en l’última actualització (Firefox 136).
    • CVE-2024-9956: Phishing de Passkey en el rang de Bluetooth
      A través de Firefox per a Android, un atacant dins del rang de Bluetooth podria haver utilitzat enllaços FIDO: per intentar enganyar l’usuari i fer-li utilitzar la seva passkey per iniciar sessió en el dispositiu de l’atacant. Això hauria permès que l’atacant s’autenticara en comptes alienes utilitzant la passkey de l’usuari. Aquest problema ha estat solucionat en Firefox 136.
    • CVE-2025-1941: Bypass de la configuració de la pantalla de bloqueig en Firefox Focus per a Android
      Baixes certes circumstàncies, un error podria haver permès que un usuari evitara la configuració d’autenticació prèvia en Firefox Focus per a Android. Aquest error podria haver permès a un atacant eludir l’opció de seguretat de requerir autenticació abans d’utilitzar l’aplicació. La vulnerabilitat ha estat corregida en Firefox 136.
    • CVE-2025-1935: Clickjacking en la barra d’informació de registerProtocolHandler
      Un lloc web podria haver utilitzat un atac de clickjacking per enganyar l’usuari i fer que es configurara una pàgina web com el gestor predeterminat d’un protocol URL personalitzat. Aquest error té un impacte baix i ha estat solucionat en Firefox 136.
    • CVE-2025-1936: Modificació en la interpretació de contingut d’un fitxer JAR
      A través d’una URL jar:, un atacant podria haver aprofitat un error en la interpretació del contingut dels fitxers JAR, afegint un %00 i una extensió falsa, cosa que podria haver permès amagar codi maliciós dins d’una extensió web. Aquest problema ha estat solucionat en Firefox 136.

Recursos afectats

    • Versions de Firefox anteriors a la 136

És important tenir en compte que aquestes vulnerabilitats afecten tant a Firefox en sistemes operatius Windows i Android, com a Firefox Focus en dispositius Android.

Recomanacions

La solució principal per a totes aquestes vulnerabilitats és l’actualització a Firefox 136, que aborda i corregeix els fallos de seguretat esmentats. Els usuaris han de assegurar-se de realitzar l’actualització per mitigar els riscos associats amb cadascuna de les CVE descrites

Referències

https://www.mozilla.org/en-US/security/advisories/mfsa2025-14/

https://www.hkcert.org/security-bulletin/mozilla-products-multiple-vulnerabilities_20250305